figyelt tevékenységek Microsoft Defender for Identity
Microsoft Defender for Identity figyeli a szervezet Active Directoryjából, hálózati tevékenységeiből és eseménytevékenységeiből származó információkat a gyanús tevékenységek észleléséhez. A figyelt tevékenységadatok lehetővé teszik a Defender for Identity számára, hogy segítsen meghatározni az egyes lehetséges fenyegetések érvényességét, és megfelelően osztályozza és válaszoljon.
Érvényes vagy valódi pozitív fenyegetés esetén a Defender for Identity lehetővé teszi az egyes incidensek biztonsági incidenseinek hatókörének felderítését, az érintett entitások kivizsgálását és azok elhárításának módját.
A Defender for Identity által figyelt információk tevékenységek formájában jelennek meg. A Defender for Identity jelenleg a következő tevékenységtípusok monitorozását támogatja:
Megjegyzés:
- Ez a cikk minden Defender for Identity-érzékelőtípushoz kapcsolódik.
- Az Identitáshoz készült Defender által figyelt tevékenységek a felhasználói és a gépprofil oldalán is megjelennek.
- A Defender for Identity által figyelt tevékenységek Microsoft Defender XDR Speciális veszélyforrás-keresés oldalán is elérhetők.
Tipp
Az Advanced Hunting Identityhez kapcsolódó táblák összes támogatott eseménytípusával (ActionTypeértékével) kapcsolatos részletes információkért használja a Microsoft Defender XDR-ben elérhető beépített sémareferenciát.
Figyelt felhasználói tevékenységek: A felhasználói fiók AD-attribútumának változásai
| Figyelt tevékenység | Leírás |
|---|---|
| A fiók korlátozott delegálási állapota megváltozott | A fiók állapota mostantól engedélyezve van vagy le van tiltva a delegáláshoz. |
| Fiók által korlátozott delegálási SPN-k módosultak | A korlátozott delegálás korlátozza azokat a szolgáltatásokat, amelyekre a megadott kiszolgáló a felhasználó nevében eljárhat. |
| Fiókdelegálás módosítva | A fiókdelegálási beállítások módosítása. |
| Fiók letiltva | Azt jelzi, hogy egy fiók le van-e tiltva vagy engedélyezve van-e. |
| A fiók lejárt | A fiók lejáratának dátuma. |
| A fiók lejárati ideje megváltozott | Módosítsa azt a dátumot, amikor a fiók lejár. |
| Fiók zárolva módosítva | A fiókzárolási beállítások módosítása. |
| Fiók jelszavának módosítása | A felhasználó megváltoztatta a jelszavát. |
| A fiók jelszava lejárt | A felhasználó jelszava lejárt. |
| A fiók jelszava soha nem jár le, módosult | A felhasználó jelszava úgy módosult, hogy soha ne járjon le. |
| A nem kötelező fiókjelszó módosítva | A felhasználói fiók úgy lett módosítva, hogy üres jelszóval engedélyezze a bejelentkezést. |
| Fiók intelligens kártyája kötelezően módosítva | Fiókmódosítások, amelyek megkövetelik, hogy a felhasználók intelligens kártyával jelentkezzenek be egy eszközre. |
| A fiók által támogatott titkosítási típusok megváltoztak | A Kerberos által támogatott titkosítási típusok módosultak (típusok: Des, AES 129, AES 256). |
| A fiók zárolásának feloldása megváltozott | A fiók zárolásának feloldására vonatkozó beállítások módosítása. |
| Fiók UPN-nevének módosítása | A felhasználó egyszerű neve megváltozott. |
| Csoporttagság módosítva | A felhasználót egy másik felhasználó vagy saját maga adta hozzá/távolította el egy csoportból vagy csoportból. |
| Felhasználói e-mail-cím módosítva | A felhasználók e-mail attribútuma megváltozott. |
| Felhasználókezelő módosítva | A felhasználó felettes attribútuma megváltozott. |
| Felhasználói telefonszám módosítva | A felhasználó telefonszám attribútuma megváltozott. |
| Felhasználói cím módosítva | A felhasználó címattribútuma megváltozott. |
Figyelt felhasználói tevékenységek: Az AD rendszerbiztonsági tag műveletei
| Figyelt tevékenység | Leírás |
|---|---|
| Felhasználói fiók létrehozva | A felhasználói fiók létrejött. |
| Számítógépfiók létrehozva | A számítógépfiók létrejött. |
| A rendszerbiztonsági tag törölve lett | A fiókot törölték/visszaállították (a felhasználót és a számítógépet is). |
| A rendszerbiztonsági tag megjelenített neve megváltozott | A fiók megjelenítendő neve X-ről Y-ra módosult. |
| A rendszerbiztonsági tag neve megváltozott | A fióknév attribútum megváltozott. |
| A rendszerbiztonsági tag elérési útja megváltozott | A fiók megkülönböztető neve X-ről Y-ra módosult. |
| A rendszerbiztonsági tag Sam-neve megváltozott | A SAM neve megváltozott (a SAM az operációs rendszer korábbi verzióit futtató ügyfelek és kiszolgálók támogatásához használt bejelentkezési név). |
Figyelt felhasználói tevékenységek: Tartományvezérlőn alapuló felhasználói műveletek
| Figyelt tevékenység | Leírás |
|---|---|
| Címtárszolgáltatás replikációja | A felhasználó megpróbálta replikálni a címtárszolgáltatást. |
| DNS-lekérdezés | A tartományvezérlőn végrehajtott lekérdezésfelhasználó típusa (AXFR, TXT, MX, NS, SRV, ANY, DNSKEY). |
| gMSA jelszólekérés | A gMSA-fiók jelszavát egy felhasználó lekérte. A tevékenység figyeléséhez a 4662-s eseményt kell összegyűjteni. További információ: A Windows-eseménygyűjtés konfigurálása. |
| LDAP-lekérdezés | A felhasználó LDAP-lekérdezést hajtott végre. |
| Lehetséges oldalirányú mozgás | Egy oldalirányú mozgást azonosítottak. |
| PowerShell-végrehajtás | A felhasználó megkísérelt távolról végrehajtani egy PowerShell-metódust. |
| Privát adatok lekérése | A felhasználó megkísérelte/sikerült lekérdezni a privát adatokat az LSARPC protokoll használatával. |
| Szolgáltatás létrehozása | A felhasználó megpróbált távolról létrehozni egy adott szolgáltatást egy távoli gépen. |
| SMB-munkamenet számbavétele | A felhasználó megpróbálta számba adni az összes olyan felhasználót, aki nyitott SMB-munkameneteket futtat a tartományvezérlőkön. |
| SMB-fájl másolása | A felhasználó az SMB használatával másolt fájlokat. |
| SAMR-lekérdezés | A felhasználó SAMR-lekérdezést hajtott végre. |
| Tevékenységütemezés | A felhasználó megpróbálta távolról ütemezni az X feladatot egy távoli gépre. |
| WMI-végrehajtás | A felhasználó megkísérelt távolról végrehajtani egy WMI-metódust. |
Figyelt felhasználói tevékenységek: Bejelentkezési műveletek
További információ: A tábla támogatott bejelentkezési típusaiIdentityLogonEvents.
Monitorozott gépi tevékenységek: Számítógépfiók
| Figyelt tevékenység | Leírás |
|---|---|
| A számítógép operációs rendszere megváltozott | Váltson a számítógép operációs rendszerének módosítására. |
| SID-History módosult | A számítógép SID-előzményeinek módosítása. |